Deteksi Trojan OpenSSH dan libkeyutils pada CPanel

Security issue yang terakhir muncul di CPanel adalah adanya trojan pada binari OpenSSH serta libkeyutils. Berikut adalah cara deteksi problem tersebut. 

Trojan RPM OpenSSH

Set perintah dan hasil diatas untuk mendeteksi infeksi trojan OpenSSH. File terinfeksi akan menyertakan 3 digit (730, 721, atau 209) pada output. Misalnya : openssh-clients-5.3p1-209.el6_3.i686

Cek Trojan pada libkeyutils

Verifikasi keyutils-libs melalui set perintah diatas. Pada sistem yang tidak terinfeksi, akan menunjukkan output kosong.

Verifikasi libkeyutils.so.1 melalui set perintah diatas. Output pada baris kedua menunjukkan sistem tidak terinfeksi. Jika pada output dijumpai libkeyutils.so.1.9, libkeyutils.so.1.3.2, libkeyutils-1.2.so.2 maka sistem telah terkompromi.

Cek seluruh string libkeyutils.* dengan contoh set perintah diatas. String gethostbyname, socket, inet_ntoa, serta connect mengindikasi sistem terkompromi. Dan berlaku sebaliknya.

Monitoring penggunaan shared memory oleh sshd proses. Output yang tidak menunjukkan penggunaan shared memory, menandakan sistem aman.

Lakukan monitor outbound traffic dari UDP port 53. Report yang normal hanya akan memunculkan DNS traffic antara server dengan DNS resolver sesuai konfigurasi di /ect/resolv.conf.

Lakukan verifikasi link library sshd dengan set perintah diatas. Sesudahnya kembali cek menggunakan command dibawah untuk memastikan bahwa library (yang berada di kanan tanda panah) memiliki referensi paket yang valid.

Lakukan berulang untuk setiap library yang ada.

Semoga bermanfaat!